Quand on a une entreprise, et qu’on possède un système informatique contenant applications, site web, messagerie et bien d’autres, on n’est pas à l’abri des imprévus. Un système informatique peut crasher pour diverses raisons, comme par exemple un incendie ou une inondation du datacenter contenant vos serveurs et vos bases de données, ou encore des cyberattaques sur ceux-ci. Pour ces raisons, des séries de mesures et de procédures, portant le nom de PCA et de PRA, ont été mises en place.

Mais donc, en quoi consistent ces deux procédures, quelles sont leurs différences, leurs avantages et inconvénients ? Nous allons répondre à toutes ces questions ici.

Qu’est-ce que le PCA ?

Le PCA, ou Plan de Continuité d’Activité, consiste à redémarrer l’activité informatique le plus rapidement possible avec le minimum de perte de données.

Il repose en général sur une analyse de risque consistant à identifier les menaces que peuvent rencontrer le système informatique de l’entreprise, et une analyse d’impact consistant à évoluer l’impact d’un risque et déterminer à partir de quand cet impact peut être considéré comme intolérable.

Pour mettre en place un PCA, on va :

• Tout d’abord, déterminer comment les risques que peuvent rencontrer le système risquent d’affecter ses opérations.

• Ensuite, on va mettre en œuvre des solutions de protection et des moyens pour atténuer les risques.

• Après, on va déterminer des procédures dites de test pour s’assurer que les mesures mises en place fonctionnent.

• Puis enfin, on va revoir le processus, pour vérifier qu’il fonctionne.

Les entreprises doivent suivre plusieurs étapes pour développer et mettre en place un PCA solide, consistant à identifier les fonctions et ressources associés à protéger, lister les actifs les plus critiques pour s’assurer de les maintenir en activité, organiser une équipe pour maintenir la continuité de l’activité avec un plan élaboré pour cela, et former l’équipe qui doit également gérer les procédures de test et faire des exercices pour tester le PCA et s’assurer qu’il fonctionne.

Le PCA utilise en général beaucoup de matériel et repose sur la synchronisation des données.

Il a l’avantage de permettre l’anticipation et la prévention des crises internes et externes, de permettre une réaction rapide et efficace en cas de crise, d’offrir la mise en place d’une culture de prévention des risques et d’une communication de crise bien préparée, et enfin de permettre une reprise rapide des activités malgré les problèmes, et de limiter les conséquences. Le PCA possède ses désavantages, il est peu efficace s’il est seulement créé à titre honorifique, par exemple, et il doit être mis à jour et réévalué régulièrement pour rester efficace. La mise en place d’un PCA est également coûteuse comparée à un PRA.

Qu’est-ce que le PRA ?

Le PRA, ou Plan de Reprise d’Activité, consiste à permettre à une entreprise d’anticiper et prévoir les mesures pour reconstruire et remettre en route un système informatique en cas d’incident important. Il vise à minimiser le temps d’arrêt de l’entreprise en maintenant l’accès aux infrastructures informatiques.

Il inclut en général deux éléments très importants : le RPO et le RTO.

• Le RPO, aussi appelé le point de récupération, indique la quantité de données qu’une entreprise ou organisation accepte de perdre ; il est compté en temps (10mn de travail ou 10heures de travail par exemple).

• Le RTO, aussi appelé l’objectif de temps de récupération, qui définit le temps d’arrêt tolérable pour l’entreprise. Quelques secondes d’interruptions peuvent représenter en effet des pertes financières considérables pour certaines entreprises.

Le PRA a l’avantage de permettre une relance rapide des opérations, évitant ainsi les conséquences néfastes sur la notoriété et la valeur financière de l’entreprise, de prévenir les risques juridiques liés à l’interruption prolongée et à la non-conformité au RGPD. Le désavantage est que si on calcule mal le RPO, on peut perdre des données importantes pour l’entreprise. Il reste également coûteux, mais moins qu’un PCA.

Quel est donc la différence entre le PCA et le PRA ?

Malgré leurs noms et fonctions qui semblent similaires au premier abord, le PCA et le PRA sont en réalité des mesures et procédures assez différentes, nous allons vous expliquer en quoi ici :

• Tout d’abord, le PCA est là pour maintenir l’activité de l’entreprise même en cas d’incident ou de problème grave. Le PRA se concentre, au contraire, plutôt sur la restauration de l’infrastructure informatique après que l’incident ou le problème grave a eu lieu. Cela explique d’ailleurs leurs noms respectifs, l’un est là pour aider à maintenir et continuer l’activité de l’entreprise pendant un sinistre, l’autre est là pour restaurer et redémarrer après le sinistre.

• Le PRA se centre sur l’infrastructure informatique, alors que le PCA intègre tous les éléments nécessaires à la prévention (comme la pose d’alarmes incendies ou la formation des salariés à la sécurité informatique).

• Le PCA et le PRA ont des objectifs différents, le PCA lutte contre les arrêts opérationnels, et le PRA prépare une remise en service rapide.

• Le PCA peut intégrer des stratégies de reprise après sinistre tandis que le PRA est surtout une étape dans l’ensemble plus large de protection d’une entreprise contre toutes les éventualités.

Vous savez maintenant tout ce qu’il y a à savoir sur le PCA et le PRA, sur leurs particularités, leurs avantages et inconvénients, et ce qu’ils apportent à l’entreprise. Nous espérons que cet article vous aura appris des choses !